ظاہر ہے، حفاظتی میکانزم کے بارے میں سوچے بغیر مواصلات کے نئے معیار کو تیار کرنا ایک انتہائی مشکوک اور فضول کوشش ہے۔
5G سیکیورٹی آرکیٹیکچر - میں لاگو سیکورٹی میکانزم اور طریقہ کار کا ایک سیٹ اور نیٹ ورک کے تمام اجزاء کو کور سے لے کر ریڈیو انٹرفیس تک۔
پانچویں نسل کے نیٹ ورکس، جوہر میں، ایک ارتقاء ہیں۔ . ریڈیو تک رسائی کی ٹیکنالوجیز میں سب سے اہم تبدیلیاں آئی ہیں۔ 5 ویں نسل کے نیٹ ورکس کے لیے، ایک نیا (ریڈیو تک رسائی کی ٹیکنالوجی) - . جہاں تک نیٹ ورک کی بنیادی بات ہے، اس میں اتنی اہم تبدیلیاں نہیں آئی ہیں۔ اس سلسلے میں، 5G نیٹ ورکس کے سیکورٹی فن تعمیر کو 4G LTE معیار میں اپنائی گئی متعلقہ ٹیکنالوجیز کو دوبارہ استعمال کرنے پر زور دینے کے ساتھ تیار کیا گیا ہے۔
تاہم، یہ بات قابل غور ہے کہ معلوم خطرات جیسے کہ ایئر انٹرفیس پر حملے اور سگنلنگ پرت پر دوبارہ غور کرنا ( طیارہ)، ڈی ڈی او ایس حملے، مین-ان-دی-مڈل حملے، وغیرہ نے ٹیلی کام آپریٹرز کو نئے معیارات تیار کرنے اور 5ویں جنریشن کے نیٹ ورکس میں مکمل طور پر نئے سیکیورٹی میکانزم کو ضم کرنے کی ترغیب دی۔
پس منظر
2015 میں، بین الاقوامی ٹیلی کمیونیکیشن یونین نے پانچویں نسل کے نیٹ ورکس کی ترقی کے لیے اپنی نوعیت کا پہلا عالمی منصوبہ تیار کیا، یہی وجہ ہے کہ 5G نیٹ ورکس میں سیکیورٹی میکانزم اور طریقہ کار کو تیار کرنے کا مسئلہ خاصا شدید ہو گیا ہے۔
نئی ٹیکنالوجی نے واقعی متاثر کن ڈیٹا کی منتقلی کی رفتار (1 جی بی پی ایس سے زیادہ)، 1 ایم ایس سے کم تاخیر اور 1 کلومیٹر 1 کے دائرے میں تقریباً 2 ملین آلات کو بیک وقت مربوط کرنے کی صلاحیت پیش کی۔ 5ویں نسل کے نیٹ ورکس کے لیے اس طرح کی اعلیٰ ترین ضروریات ان کی تنظیم کے اصولوں سے بھی ظاہر ہوتی ہیں۔
اہم ایک وکندریقرت تھا، جس نے نیٹ ورک کے دائرہ میں بہت سے مقامی ڈیٹا بیس اور ان کے پروسیسنگ مراکز کی جگہ کا تعین کیا۔ اس نے تاخیر کو کم سے کم کرنا ممکن بنایا جب -بڑی تعداد میں IoT ڈیوائسز کی سروسنگ کی وجہ سے مواصلات اور نیٹ ورک کور کو ریلیف دیتے ہیں۔ اس طرح، اگلی نسل کے نیٹ ورکس کا کنارہ بیس اسٹیشنوں تک پھیل گیا، جس سے مقامی مواصلاتی مراکز کی تخلیق اور انتہائی تاخیر یا سروس سے انکار کے خطرے کے بغیر کلاؤڈ سروسز کی فراہمی ممکن ہوئی۔ فطری طور پر، نیٹ ورکنگ اور کسٹمر سروس کے لیے بدلا ہوا نقطہ نظر حملہ آوروں کے لیے دلچسپی کا حامل تھا، کیونکہ اس نے ان کے لیے صارف کی خفیہ معلومات اور نیٹ ورک کے اجزاء دونوں پر حملہ کرنے کے نئے مواقع فراہم کیے ہیں تاکہ سروس سے انکار یا آپریٹر کے کمپیوٹنگ وسائل پر قبضہ کیا جا سکے۔
5 ویں نسل کے نیٹ ورکس کی اہم کمزوریاں
بڑے حملے کی سطح
مزیدتیسری اور چوتھی نسل کے ٹیلی کمیونیکیشن نیٹ ورکس بناتے وقت، ٹیلی کام آپریٹرز عام طور پر ایک یا کئی دکانداروں کے ساتھ کام کرنے تک محدود رہتے تھے جنہوں نے فوری طور پر ہارڈ ویئر اور سافٹ ویئر کا سیٹ فراہم کیا۔ یعنی، سب کچھ کام کر سکتا ہے، جیسا کہ وہ کہتے ہیں، "آؤٹ آف دی باکس" - یہ صرف وینڈر سے خریدے گئے سامان کو انسٹال اور ترتیب دینے کے لیے کافی تھا۔ ملکیتی سافٹ ویئر کو تبدیل کرنے یا اس کی تکمیل کرنے کی ضرورت نہیں تھی۔ جدید رجحانات اس "کلاسیکی" نقطہ نظر کے خلاف چلتے ہیں اور ان کا مقصد نیٹ ورکس کی ورچوئلائزیشن ہے، جو ان کی تعمیر اور سافٹ ویئر کے تنوع کے لیے ملٹی وینڈر اپروچ ہے۔ ٹیکنالوجیز جیسے (انگلش سافٹ ویئر ڈیفائنڈ نیٹ ورک) اور (انگلش نیٹ ورک فنکشنز ورچوئلائزیشن)، جو مواصلاتی نیٹ ورکس کے انتظام کے عمل اور افعال میں اوپن سورس کوڈز کی بنیاد پر بنائے گئے سافٹ ویئر کی ایک بڑی مقدار کو شامل کرنے کا باعث بنتا ہے۔ یہ حملہ آوروں کو آپریٹر کے نیٹ ورک کا بہتر مطالعہ کرنے اور کمزوریوں کی ایک بڑی تعداد کی نشاندہی کرنے کا موقع فراہم کرتا ہے، جس کے نتیجے میں، موجودہ نیٹ ورکس کے مقابلے نئی نسل کے نیٹ ورکس کی حملے کی سطح میں اضافہ ہوتا ہے۔
IoT آلات کی بڑی تعداد
مزید2021 تک، 57G نیٹ ورکس سے منسلک تقریباً 5% ڈیوائسز IoT ڈیوائسز ہوں گی۔ اس کا مطلب ہے کہ زیادہ تر میزبانوں کے پاس خفیہ نگاری کی صلاحیتیں محدود ہوں گی (نقطہ 2 دیکھیں) اور، اس کے مطابق، حملوں کا خطرہ ہو گا۔ اس طرح کے آلات کی ایک بڑی تعداد بوٹ نیٹ کے پھیلاؤ کے خطرے میں اضافہ کرے گی اور اس سے بھی زیادہ طاقتور اور تقسیم شدہ DDoS حملوں کو ممکن بنائے گی۔
IoT آلات کی محدود کرپٹوگرافک صلاحیتیں۔
مزیدجیسا کہ پہلے ہی ذکر کیا جا چکا ہے، 5ویں نسل کے نیٹ ورک فعال طور پر پیریفرل ڈیوائسز کا استعمال کرتے ہیں، جو نیٹ ورک کور سے بوجھ کے کچھ حصے کو ہٹانا ممکن بناتے ہیں اور اس طرح تاخیر کو کم کرتے ہیں۔ بغیر پائلٹ گاڑیوں کا کنٹرول، ایمرجنسی وارننگ سسٹم جیسی اہم خدمات کے لیے یہ ضروری ہے۔ اور دوسرے، جن کے لیے کم سے کم تاخیر کو یقینی بنانا ضروری ہے، کیونکہ انسانی زندگیوں کا انحصار اس پر ہے۔ IoT ڈیوائسز کی ایک بڑی تعداد کے کنکشن کی وجہ سے، جو کہ اپنے چھوٹے سائز اور کم بجلی کی کھپت کی وجہ سے، کمپیوٹنگ کے بہت محدود وسائل رکھتے ہیں، 5G نیٹ ورک ایسے حملوں کا شکار ہو جاتے ہیں جن کا مقصد کنٹرول کو روکنا اور اس طرح کے آلات کی ہیرا پھیری کرنا ہے۔ مثال کے طور پر، ایسے منظرنامے ہو سکتے ہیں جہاں IoT ڈیوائسز جو کہ سسٹم کا حصہ ہیں انفیکٹ ہو گئے ہیں۔"، میلویئر کی اقسام جیسے . بغیر پائلٹ گاڑیوں کے کنٹرول کو روکنے کے منظرنامے جو کلاؤڈ کے ذریعے کمانڈز اور نیویگیشن معلومات حاصل کرتے ہیں۔ رسمی طور پر، یہ کمزوری نئی نسل کے نیٹ ورکس کی وکندریقرت کی وجہ سے ہے، لیکن اگلا پیراگراف وکندریقرت کے مسئلے کو زیادہ واضح طور پر بیان کرے گا۔
نیٹ ورک کی حدود کی وکندریقرت اور توسیع
مزیدپیریفرل ڈیوائسز، مقامی نیٹ ورک کور کا کردار ادا کرتے ہوئے، صارف کی ٹریفک کی روٹنگ، درخواستوں پر کارروائی کرنے کے ساتھ ساتھ مقامی کیشنگ اور صارف کے ڈیٹا کی اسٹوریج کو انجام دیتے ہیں۔ اس طرح، 5 ویں نسل کے نیٹ ورکس کی حدود کور کے علاوہ، مقامی ڈیٹا بیس اور 5G-NR (5G نیو ریڈیو) ریڈیو انٹرفیس سمیت دائرہ تک پھیل رہی ہیں۔ یہ مقامی آلات کے کمپیوٹنگ وسائل پر حملہ کرنے کا موقع پیدا کرتا ہے، جو کہ نیٹ ورک کور کے مرکزی نوڈس کے مقابلے میں ترجیحی طور پر کمزور محفوظ ہیں، جس کا مقصد سروس سے انکار کرنا ہے۔ اس سے پورے علاقوں کے لیے انٹرنیٹ تک رسائی منقطع ہو سکتی ہے، IoT آلات کے غلط کام کرنا (مثال کے طور پر، ایک سمارٹ ہوم سسٹم میں)، اور ساتھ ہی IMS ایمرجنسی الرٹ سروس کی عدم دستیابی بھی۔
تاہم، ETSI اور 3GPP نے اب 10G نیٹ ورک سیکیورٹی کے مختلف پہلوؤں کا احاطہ کرنے والے 5 سے زیادہ معیارات شائع کیے ہیں۔ وہاں بیان کردہ میکانزم کی اکثریت کا مقصد کمزوریوں (بشمول اوپر بیان کردہ) سے حفاظت کرنا ہے۔ اہم میں سے ایک معیار ہے۔ 5th جنریشن کے نیٹ ورکس کے سیکورٹی فن تعمیر کو بیان کرتے ہوئے
5G فن تعمیر
سب سے پہلے، آئیے 5G نیٹ ورک آرکیٹیکچر کے کلیدی اصولوں کی طرف رجوع کریں، جو ہر سافٹ ویئر ماڈیول اور ہر 5G سیکیورٹی فنکشن کے معنی اور ذمہ داری کے شعبوں کو مزید مکمل طور پر ظاہر کرے گا۔
- نیٹ ورک نوڈس کی ان عناصر میں تقسیم جو پروٹوکول کے آپریشن کو یقینی بناتے ہیں۔ (انگریزی UP - یوزر پلین سے) اور ایسے عناصر جو پروٹوکول کے عمل کو یقینی بناتے ہیں۔ (انگریزی CP - Control Plane سے)، جو نیٹ ورک کی سکیلنگ اور تعیناتی کے لحاظ سے لچک کو بڑھاتا ہے، یعنی انفرادی اجزاء کے نیٹ ورک نوڈس کی مرکزی یا وکندریقرت جگہ کا تعین ممکن ہے۔
- میکانزم کی حمایت ، اختتامی صارفین کے مخصوص گروپوں کو فراہم کردہ خدمات کی بنیاد پر۔
- فارم میں نیٹ ورک عناصر کا نفاذ .
- مرکزی اور مقامی خدمات تک بیک وقت رسائی کے لیے معاونت، یعنی کلاؤڈ تصورات کا نفاذ (انگریزی سے۔ ) اور سرحد (انگریزی سے۔ ) حسابات۔
- Реализация مختلف قسم کے رسائی نیٹ ورکس کو یکجا کرنے والا فن تعمیر - 3GPP 5G نیا ریڈیو اور (وائی فائی، وغیرہ) - ایک نیٹ ورک کور کے ساتھ۔
- رسائی نیٹ ورک کی قسم سے قطع نظر، یکساں الگورتھم اور تصدیق کے طریقہ کار کی حمایت۔
- اسٹیٹ لیس نیٹ ورک فنکشنز کے لیے سپورٹ، جس میں کمپیوٹیڈ ریسورس کو ریسورس اسٹور سے الگ کیا جاتا ہے۔
- ہوم نیٹ ورک کے ذریعے (انگریزی ہوم روٹڈ رومنگ سے) اور مہمان نیٹ ورک میں مقامی "لینڈنگ" (انگریزی لوکل بریک آؤٹ سے) دونوں کے ساتھ ٹریفک روٹنگ کے ساتھ رومنگ کے لیے سپورٹ۔
- نیٹ ورک کے افعال کے درمیان تعامل کو دو طریقوں سے ظاہر کیا جاتا ہے: и .
5 ویں نسل کے نیٹ ورک سیکورٹی کا تصور شامل ہے۔:
- نیٹ ورک سے صارف کی تصدیق۔
- صارف کے ذریعہ نیٹ ورک کی تصدیق۔
- نیٹ ورک اور صارف کے سازوسامان کے درمیان کرپٹوگرافک کیز کی بات چیت۔
- سگنلنگ ٹریفک کا انکرپشن اور انٹیگریٹی کنٹرول۔
- خفیہ کاری اور صارف ٹریفک کی سالمیت کا کنٹرول۔
- یوزر آئی ڈی کا تحفظ۔
- نیٹ ورک سیکیورٹی ڈومین کے تصور کے مطابق مختلف نیٹ ورک عناصر کے درمیان انٹرفیس کی حفاظت کرنا۔
- میکانزم کی مختلف تہوں کی تنہائی اور ہر پرت کی اپنی حفاظتی سطحوں کی وضاحت کرنا۔
- اختتامی خدمات (IMS، IoT اور دیگر) کی سطح پر صارف کی توثیق اور ٹریفک تحفظ۔
کلیدی سافٹ ویئر ماڈیولز اور 5G نیٹ ورک سیکیورٹی کی خصوصیات
AMF (انگریزی رسائی اور نقل و حرکت کے انتظام کے فنکشن سے - رسائی اور نقل و حرکت کے انتظام کے فنکشن) - فراہم کرتا ہے:
- کنٹرول ہوائی جہاز انٹرفیس کی تنظیم.
- سگنلنگ ٹریفک ایکسچینج کی تنظیم ، خفیہ کاری اور اس کے ڈیٹا کی سالمیت کا تحفظ۔
- سگنلنگ ٹریفک ایکسچینج کی تنظیم ، خفیہ کاری اور اس کے ڈیٹا کی سالمیت کا تحفظ۔
- نیٹ ورک پر صارف کے آلات کی رجسٹریشن کا انتظام اور رجسٹریشن کی ممکنہ ریاستوں کی نگرانی کرنا۔
- نیٹ ورک سے صارف کے سامان کے کنکشن کا انتظام اور ممکنہ ریاستوں کی نگرانی۔
- CM-IDLE حالت میں نیٹ ورک پر صارف کے آلات کی دستیابی کو کنٹرول کریں۔
- CM-Connected حالت میں نیٹ ورک میں صارف کے آلات کی نقل و حرکت کا انتظام۔
- صارف کے سامان اور SMF کے درمیان مختصر پیغامات کی ترسیل۔
- مقام کی خدمات کا انتظام۔
- تھریڈ ID مختص کرنا EPS کے ساتھ بات چیت کرنے کے لیے۔
SMF (انگریزی: سیشن مینجمنٹ فنکشن - سیشن مینجمنٹ فنکشن) - فراہم کرتا ہے:
- مواصلاتی سیشن کا انتظام، یعنی سیشن بنانا، تبدیل کرنا اور جاری کرنا، بشمول رسائی نیٹ ورک اور UPF کے درمیان ایک سرنگ کو برقرار رکھنا۔
- صارف کے سامان کے IP پتوں کی تقسیم اور انتظام۔
- استعمال کرنے کے لیے UPF گیٹ وے کا انتخاب کرنا۔
- پی سی ایف کے ساتھ تعامل کی تنظیم۔
- پالیسی کے نفاذ کا انتظام .
- DHCPv4 اور DHCPv6 پروٹوکول کا استعمال کرتے ہوئے صارف کے سامان کی متحرک ترتیب۔
- ٹیرف ڈیٹا جمع کرنے کی نگرانی اور بلنگ سسٹم کے ساتھ تعامل کو منظم کرنا۔
- خدمات کی ہموار فراہمی (انگریزی سے۔ ).
- رومنگ کے اندر مہمانوں کے نیٹ ورکس کے ساتھ تعامل۔
یوپی ایف (انگریزی یوزر پلین فنکشن - یوزر پلین فنکشن) - فراہم کرتا ہے:
- بیرونی ڈیٹا نیٹ ورکس کے ساتھ تعامل، بشمول عالمی انٹرنیٹ۔
- صارف کے پیکٹ کو روٹنگ کرنا۔
- QoS پالیسیوں کے مطابق پیکٹوں کی نشان زد۔
- صارف پیکیج کی تشخیص (مثال کے طور پر، دستخط پر مبنی ایپلیکیشن کا پتہ لگانا)۔
- ٹریفک کے استعمال سے متعلق رپورٹس فراہم کرنا۔
- UPF مختلف ریڈیو ایکسیس ٹیکنالوجیز کے اندر اور ان کے درمیان نقل و حرکت کو سپورٹ کرنے کا اینکر پوائنٹ بھی ہے۔
یو ڈی ایم (انگریزی یونیفائیڈ ڈیٹا مینجمنٹ - متحد ڈیٹا بیس) - فراہم کرتا ہے:
- صارف کے پروفائل ڈیٹا کا نظم کرنا، بشمول صارفین کے لیے دستیاب خدمات کی فہرست اور ان کے متعلقہ پیرامیٹرز کو ذخیرہ کرنا اور اس میں ترمیم کرنا۔
- مینجمنٹ
- 3GPP تصدیقی اسناد تیار کریں۔ .
- پروفائل ڈیٹا کی بنیاد پر اجازت تک رسائی حاصل کریں (مثال کے طور پر، رومنگ پابندیاں)۔
- صارف کے رجسٹریشن کا انتظام، یعنی خدمت کرنے والے AMF کا ذخیرہ۔
- سیملیس سروس اور کمیونیکیشن سیشنز کے لیے سپورٹ، یعنی موجودہ کمیونیکیشن سیشن کو تفویض کردہ SMF کو اسٹور کرنا۔
- ایس ایم ایس کی ترسیل کا انتظام۔
- متعدد مختلف UDMs مختلف لین دین میں ایک ہی صارف کی خدمت کر سکتے ہیں۔
UDR (انگریزی یونیفائیڈ ڈیٹا ریپوزٹری - سٹوریج آف یونیفائیڈ ڈیٹا) - صارف کے مختلف ڈیٹا کا ذخیرہ فراہم کرتا ہے اور درحقیقت تمام نیٹ ورک سبسکرائبرز کا ڈیٹا بیس ہے۔
یو ڈی ایس ایف (انگریزی Unstructured Data Storage Function - unstructured data storage function) - یقینی بناتا ہے کہ AMF ماڈیول رجسٹرڈ صارفین کے موجودہ سیاق و سباق کو محفوظ کرتے ہیں۔ عام طور پر، اس معلومات کو ایک غیر معینہ ڈھانچے کے ڈیٹا کے طور پر پیش کیا جا سکتا ہے۔ سروس سے AMFs میں سے کسی ایک کے منصوبہ بند انخلا کے دوران، اور کسی ہنگامی صورت حال میں، صارف کے سیاق و سباق کو بغیر کسی رکاوٹ کے اور بلا تعطل سبسکرائبر سیشنز کو یقینی بنانے کے لیے استعمال کیا جا سکتا ہے۔ دونوں صورتوں میں، بیک اپ AMF USDF میں محفوظ کردہ سیاق و سباق کا استعمال کرتے ہوئے سروس کو "پک اپ" کرے گا۔
UDR اور UDSF کو ایک ہی فزیکل پلیٹ فارم پر ملانا ان نیٹ ورک کے افعال کا ایک عام نفاذ ہے۔
PCF (انگریزی: Policy Control Function - پالیسی کنٹرول فنکشن) - صارفین کو کچھ سروس پالیسیاں بناتا اور تفویض کرتا ہے، بشمول QoS پیرامیٹرز اور چارجنگ کے اصول۔ مثال کے طور پر، ایک یا دوسری قسم کی ٹریفک کو منتقل کرنے کے لیے، مختلف خصوصیات کے حامل ورچوئل چینلز کو متحرک طور پر بنایا جا سکتا ہے۔ ایک ہی وقت میں، سبسکرائبر کی طرف سے درخواست کردہ سروس کی ضروریات، نیٹ ورک کی بھیڑ کی سطح، استعمال ہونے والی ٹریفک کی مقدار وغیرہ کو بھی مدنظر رکھا جا سکتا ہے۔
NEF (انگریزی نیٹ ورک ایکسپوزر فنکشن - نیٹ ورک ایکسپوزر فنکشن) - فراہم کرتا ہے:
- نیٹ ورک کور کے ساتھ بیرونی پلیٹ فارمز اور ایپلیکیشنز کے محفوظ تعامل کی تنظیم۔
- مخصوص صارفین کے لیے QoS پیرامیٹرز اور چارجنگ کے قواعد کا نظم کریں۔
SEAF (انگریزی سیکیورٹی اینکر فنکشن - اینکر سیکیورٹی فنکشن) - AUSF کے ساتھ مل کر صارفین کی تصدیق فراہم کرتا ہے جب وہ کسی بھی رسائی ٹیکنالوجی کے ساتھ نیٹ ورک پر رجسٹر ہوتے ہیں۔
AUSF (انگریزی توثیق سرور فنکشن - تصدیقی سرور فنکشن) - ایک تصدیقی سرور کا کردار ادا کرتا ہے جو SEAF سے درخواستیں وصول کرتا ہے اور اس پر کارروائی کرتا ہے اور انہیں ARPF کو بھیجتا ہے۔
اے آر پی ایف (انگریزی: Authentication Credential Repository and Processing Function - تصدیقی اسناد کو ذخیرہ کرنے اور پروسیسنگ کرنے کا فنکشن) - ذاتی خفیہ کلیدوں (KI) کا ذخیرہ اور کرپٹوگرافک الگورتھم کے پیرامیٹرز کے ساتھ ساتھ 5G-AKA کے مطابق تصدیقی ویکٹر کی نسل فراہم کرتا ہے۔ -AKA یہ ہوم ٹیلی کام آپریٹر کے ڈیٹا سینٹر میں واقع ہے، بیرونی جسمانی اثرات سے محفوظ ہے، اور، ایک اصول کے طور پر، UDM کے ساتھ مربوط ہے۔
ایس سی ایم ایف (انگریزی سیکیورٹی سیاق و سباق کا انتظام فنکشن - مینجمنٹ فنکشن ) - 5G سیکیورٹی سیاق و سباق کے لیے لائف سائیکل مینجمنٹ فراہم کرتا ہے۔
ایس پی سی ایف (انگریزی سیکیورٹی پالیسی کنٹرول فنکشن - سیکیورٹی پالیسی مینجمنٹ فنکشن) - مخصوص صارفین کے سلسلے میں سیکیورٹی پالیسیوں کے ہم آہنگی اور اطلاق کو یقینی بناتا ہے۔ یہ نیٹ ورک کی صلاحیتوں، صارف کے آلات کی صلاحیتوں اور مخصوص سروس کے تقاضوں کو مدنظر رکھتا ہے (مثال کے طور پر، اہم مواصلاتی سروس اور وائرلیس براڈ بینڈ انٹرنیٹ تک رسائی کی سروس کے ذریعے فراہم کردہ تحفظ کی سطحیں مختلف ہو سکتی ہیں)۔ سیکورٹی پالیسیوں کے اطلاق میں شامل ہیں: AUSF کا انتخاب، تصدیقی الگورتھم کا انتخاب، ڈیٹا انکرپشن اور انٹیگریٹی کنٹرول الگورتھم کا انتخاب، چابیاں کی لمبائی اور لائف سائیکل کا تعین۔
ایس آئی ڈی ایف (انگریزی سبسکرپشن آئیڈینٹیفائر ڈی کنسیلنگ فنکشن - صارف شناخت کنندہ نکالنے کا فنکشن) - ایک پوشیدہ شناخت کنندہ (انگریزی )، توثیق کے طریقہ کار کی درخواست "Auth Info Req" کے حصے کے طور پر موصول ہوئی۔
5G مواصلاتی نیٹ ورکس کے لیے بنیادی حفاظتی تقاضے
مزیدصارف کی توثیق: پیش کرنے والے 5G نیٹ ورک کو صارف اور نیٹ ورک کے درمیان 5G AKA عمل میں صارف کے SUPI کی تصدیق کرنی چاہیے۔
نیٹ ورک کی توثیق کی خدمت کرنا: صارف کو 5G سرونگ نیٹ ورک ID کی توثیق کرنی ہوگی، جس کی تصدیق 5G AKA طریقہ کار کے ذریعے حاصل کی گئی کلیدوں کے کامیاب استعمال سے ہوتی ہے۔
صارف کی اجازت: سرونگ نیٹ ورک کو ہوم ٹیلی کام آپریٹر کے نیٹ ورک سے موصول صارف پروفائل کا استعمال کرتے ہوئے صارف کو اجازت دینی چاہیے۔
ہوم آپریٹر نیٹ ورک کے ذریعہ سرونگ نیٹ ورک کی اجازت: صارف کو تصدیق کے ساتھ فراہم کیا جانا چاہیے کہ وہ ایک ایسے سروس نیٹ ورک سے جڑا ہوا ہے جسے ہوم آپریٹر نیٹ ورک کے ذریعے خدمات فراہم کرنے کا اختیار دیا گیا ہے۔ اجازت اس معنی میں مضمر ہے کہ یہ 5G AKA طریقہ کار کی کامیاب تکمیل سے یقینی ہے۔
ہوم آپریٹر نیٹ ورک کے ذریعہ رسائی نیٹ ورک کی اجازت: صارف کو تصدیق کے ساتھ فراہم کیا جانا چاہیے کہ وہ ایک رسائی نیٹ ورک سے جڑا ہوا ہے جسے ہوم آپریٹر نیٹ ورک کے ذریعے خدمات فراہم کرنے کا اختیار دیا گیا ہے۔ اجازت اس معنی میں مضمر ہے کہ یہ رسائی نیٹ ورک کی حفاظت کو کامیابی کے ساتھ قائم کرکے نافذ کیا جاتا ہے۔ اس قسم کی اجازت کسی بھی قسم کے رسائی نیٹ ورک کے لیے استعمال کی جانی چاہیے۔
غیر مستند ہنگامی خدمات: کچھ خطوں میں ریگولیٹری تقاضوں کو پورا کرنے کے لیے، 5G نیٹ ورکس کو ہنگامی خدمات کے لیے غیر مستند رسائی فراہم کرنا چاہیے۔
نیٹ ورک کور اور ریڈیو تک رسائی کا نیٹ ورک: 5G نیٹ ورک کور اور 5G ریڈیو ایکسیس نیٹ ورک کو 128 بٹ انکرپشن اور انٹیگریٹی الگورتھم کے استعمال کو یقینی بنانے کے لیے سپورٹ کرنا چاہیے۔ и . نیٹ ورک انٹرفیس کو 256 بٹ انکرپشن کیز کو سپورٹ کرنا چاہیے۔
صارف کے سامان کے لیے بنیادی حفاظتی تقاضے
مزید
- صارف کے آلات کو اس کے اور ریڈیو تک رسائی کے نیٹ ورک کے درمیان منتقل ہونے والے صارف کے ڈیٹا کے لیے خفیہ کاری، سالمیت کے تحفظ، اور ری پلے حملوں کے خلاف تحفظ کی حمایت کرنی چاہیے۔
- صارف کے آلات کو لازمی طور پر خفیہ کاری اور ڈیٹا کی سالمیت کے تحفظ کے طریقہ کار کو فعال کرنا چاہیے جیسا کہ ریڈیو ایکسیس نیٹ ورک کی ہدایت ہے۔
- صارف کے آلات کو RRC اور NAS سگنلنگ ٹریفک کے لیے خفیہ کاری، سالمیت کے تحفظ، اور ری پلے حملوں کے خلاف تحفظ کی حمایت کرنی چاہیے۔
- صارف کے آلات کو درج ذیل کرپٹوگرافک الگورتھم کو سپورٹ کرنا چاہیے: NEA0, NIA0, 128-NEA1, 128-NIA1, 128-NEA2, 128-NIA2
- صارف کا سامان درج ذیل کرپٹوگرافک الگورتھم کو سپورٹ کر سکتا ہے: 128-NEA3، 128-NIA3۔
- صارف کے آلات کو درج ذیل کرپٹوگرافک الگورتھم کو سپورٹ کرنا چاہیے: 128-EEA1, 128-EEA2, 128-EIA1, 128-EIA2 اگر یہ E-UTRA ریڈیو رسائی نیٹ ورک سے کنکشن کو سپورٹ کرتا ہے۔
- صارف کے آلات اور ریڈیو تک رسائی کے نیٹ ورک کے درمیان منتقل ہونے والے صارف کے ڈیٹا کی رازداری کا تحفظ اختیاری ہے، لیکن جب بھی ضابطے کی طرف سے اجازت ہو اسے فراہم کیا جانا چاہیے۔
- RRC اور NAS سگنلنگ ٹریفک کے لیے رازداری کا تحفظ اختیاری ہے۔
- صارف کی مستقل کلید کو صارف کے سازوسامان کے اچھی طرح سے محفوظ اجزاء میں محفوظ اور محفوظ کیا جانا چاہیے۔
- ایک سبسکرائبر کے مستقل سبسکرپشن شناخت کنندہ کو ریڈیو تک رسائی کے نیٹ ورک پر واضح متن میں منتقل نہیں کیا جانا چاہئے سوائے درست روٹنگ کے لئے ضروری معلومات کے (مثال کے طور پر и ).
- ہوم آپریٹر کے نیٹ ورک کی عوامی کلید، کلیدی شناخت کنندہ، سیکیورٹی اسکیم شناخت کنندہ، اور روٹنگ شناخت کنندہ کو اس میں ذخیرہ کیا جانا چاہیے .
ہر خفیہ کاری الگورتھم بائنری نمبر کے ساتھ منسلک ہے:
- "0000": NEA0 - کالعدم سائفرنگ الگورتھم
- "0001": 128-NEA1 - 128 بٹ 3G پر مبنی الگورتھم
- "0010" 128-NEA2 - 128 بٹ پر مبنی الگورتھم
- "0011" 128-NEA3 - 128 بٹ پر مبنی الگورتھم
128-NEA1 اور 128-NEA2 کا استعمال کرتے ہوئے ڈیٹا کی خفیہ کاری
PS سرکٹ سے مستعار لیا گیا ہے۔
سالمیت کو یقینی بنانے کے لیے الگورتھم 128-NIA1 اور 128-NIA2 کے ذریعے نقلی داخلوں کی تخلیق
PS سرکٹ سے مستعار لیا گیا ہے۔
5G نیٹ ورک کے افعال کے لیے بنیادی حفاظتی تقاضے
مزید
- AMF کو SUCI کا استعمال کرتے ہوئے بنیادی تصدیق کی حمایت کرنی چاہیے۔
- SEAF کو SUCI کا استعمال کرتے ہوئے بنیادی تصدیق کی حمایت کرنی چاہیے۔
- UDM اور ARPF کو صارف کی مستقل کلید کو ذخیرہ کرنا چاہیے اور اس بات کو یقینی بنانا چاہیے کہ یہ چوری سے محفوظ ہے۔
- AUSF صرف SUCI کا استعمال کرتے ہوئے کامیاب ابتدائی تصدیق پر مقامی سرونگ نیٹ ورک کو SUPI فراہم کرے گا۔
- NEF کو آپریٹر کے سیکیورٹی ڈومین سے باہر چھپی ہوئی بنیادی نیٹ ورک کی معلومات کو آگے نہیں بھیجنا چاہیے۔
بنیادی حفاظتی طریقہ کار
ڈومینز پر اعتماد کریں۔
5ویں نسل کے نیٹ ورکس میں، نیٹ ورک عناصر پر اعتماد کم ہو جاتا ہے کیونکہ عناصر نیٹ ورک کور سے ہٹ جاتے ہیں۔ یہ تصور 5G سیکیورٹی فن تعمیر میں نافذ کیے گئے فیصلوں کو متاثر کرتا ہے۔ اس طرح، ہم 5G نیٹ ورکس کے ٹرسٹ ماڈل کے بارے میں بات کر سکتے ہیں جو نیٹ ورک سیکورٹی میکانزم کے رویے کا تعین کرتا ہے۔
صارف کی طرف، ٹرسٹ ڈومین UICC اور USIM کے ذریعے تشکیل دیا گیا ہے۔
نیٹ ورک کی طرف، ٹرسٹ ڈومین کا ڈھانچہ زیادہ پیچیدہ ہے۔
ریڈیو تک رسائی کے نیٹ ورک کو دو اجزاء میں تقسیم کیا گیا ہے۔ DU (انگریزی تقسیم شدہ یونٹس سے - تقسیم شدہ نیٹ ورک یونٹس) اور CU (انگریزی مرکزی اکائیوں سے - نیٹ ورک کی مرکزی اکائیاں)۔ وہ مل کر تشکیل دیتے ہیں۔ جی این بی - 5G نیٹ ورک بیس اسٹیشن کا ریڈیو انٹرفیس۔ DUs کو صارف کے ڈیٹا تک براہ راست رسائی حاصل نہیں ہے کیونکہ انہیں غیر محفوظ انفراسٹرکچر حصوں پر تعینات کیا جا سکتا ہے۔ CUs کو نیٹ ورک کے محفوظ حصوں میں تعینات کیا جانا چاہیے، کیونکہ وہ AS سیکیورٹی میکانزم سے ٹریفک کو ختم کرنے کے ذمہ دار ہیں۔ نیٹ ورک کے مرکز میں واقع ہے AMF، جو NAS سیکیورٹی میکانزم سے ٹریفک کو ختم کرتا ہے۔ موجودہ 3GPP 5G فیز 1 تصریح اس امتزاج کو بیان کرتی ہے۔ AMF حفاظت کی تقریب کے ساتھ SEAF، جس میں وزٹ کیے گئے (سروس کرنے والے) نیٹ ورک کی روٹ کلید (جسے "اینکر کی" بھی کہا جاتا ہے) پر مشتمل ہے۔ AUSF کامیاب تصدیق کے بعد حاصل کی گئی کلید کو ذخیرہ کرنے کا ذمہ دار ہے۔ یہ ان صورتوں میں دوبارہ استعمال کے لیے ضروری ہے جہاں صارف بیک وقت کئی ریڈیو ایکسیس نیٹ ورکس سے جڑا ہوا ہو۔ اے آر پی ایف صارف کی اسناد کو ذخیرہ کرتا ہے اور سبسکرائبرز کے لیے یو ایس آئی ایم کا ایک اینالاگ ہے۔ UDR и یو ڈی ایم صارف کی معلومات کو ذخیرہ کریں، جس کا استعمال اسناد، صارف IDs، سیشن کے تسلسل کو یقینی بنانے وغیرہ کے لیے منطق کا تعین کرنے کے لیے کیا جاتا ہے۔
کلیدوں کا درجہ بندی اور ان کی تقسیم کی اسکیمیں
5ویں نسل کے نیٹ ورکس میں، 4G-LTE نیٹ ورکس کے برعکس، تصدیق کے طریقہ کار کے دو اجزاء ہوتے ہیں: بنیادی اور ثانوی تصدیق۔ نیٹ ورک سے جڑنے والے تمام صارف آلات کے لیے بنیادی تصدیق کی ضرورت ہے۔ ثانوی توثیق بیرونی نیٹ ورکس کی درخواست پر کی جا سکتی ہے، اگر سبسکرائبر ان سے جڑتا ہے۔
بنیادی تصدیق کی کامیاب تکمیل اور صارف اور نیٹ ورک کے درمیان مشترکہ کلید K کی ترقی کے بعد، KSEAF کلید K - سرونگ نیٹ ورک کی ایک خصوصی اینکر (روٹ) کلید سے نکالا جاتا ہے۔ اس کے بعد، RRC اور NAS سگنلنگ ٹریفک ڈیٹا کی رازداری اور سالمیت کو یقینی بنانے کے لیے اس کلید سے کیز تیار کی جاتی ہیں۔
وضاحت کے ساتھ خاکہ
اشارے:
CK سائفر کلید
IK (انگریزی: Integrity Key) - ڈیٹا کی سالمیت کے تحفظ کے طریقہ کار میں استعمال ہونے والی کلید۔
سی کے' (eng. Cipher Key) - EAP-AKA میکانزم کے لیے CK سے بنائی گئی ایک اور خفیہ کلید۔
IK' (انگریزی Integrity Key) - EAP-AKA کے لیے ڈیٹا انٹیگریٹی پروٹیکشن میکانزم میں استعمال ہونے والی ایک اور کلید۔
KAUSF - ARPF فنکشن اور صارف کے سامان کے ذریعہ تیار کردہ CK и IK 5G AKA اور EAP-AKA کے دوران۔
KSEAF - کلید سے AUSF فنکشن کے ذریعے حاصل کردہ اینکر کلید کامفاؤس ایف.
کے اے ایم ایف - کلید سے SEAF فنکشن کے ذریعے حاصل کردہ کلید KSEAF.
KNASint, KNASenc - کلید سے AMF فنکشن کے ذریعے حاصل کردہ کلیدیں۔ کے اے ایم ایف NAS سگنلنگ ٹریفک کی حفاظت کے لیے۔
KRRCint, KRRCenc - کلید سے AMF فنکشن کے ذریعے حاصل کردہ کلیدیں۔ کے اے ایم ایف RRC سگنلنگ ٹریفک کی حفاظت کے لیے۔
KUPint, KUPenc - کلید سے AMF فنکشن کے ذریعے حاصل کردہ کلیدیں۔ کے اے ایم ایف AS سگنلنگ ٹریفک کی حفاظت کے لیے۔
NH - کلید سے AMF فنکشن کے ذریعہ حاصل کردہ انٹرمیڈیٹ کلید کے اے ایم ایف حوالگی کے دوران ڈیٹا کی حفاظت کو یقینی بنانے کے لیے۔
KgNB — کلید سے AMF فنکشن کے ذریعے حاصل کردہ کلید کے اے ایم ایف نقل و حرکت کے طریقہ کار کی حفاظت کو یقینی بنانے کے لیے۔
SUPI سے SUCI پیدا کرنے کی اسکیمیں اور اس کے برعکس
SUPI اور SUCI حاصل کرنے کی اسکیمیں
SUCI سے SUCI اور SUCI سے SUPI کی پیداوار:
توثیق
بنیادی تصدیق
5G نیٹ ورکس میں، EAP-AKA اور 5G AKA معیاری بنیادی تصدیقی میکانزم ہیں۔ آئیے بنیادی توثیق کے طریقہ کار کو دو مرحلوں میں تقسیم کرتے ہیں: پہلا توثیق شروع کرنے اور تصدیق کا طریقہ منتخب کرنے کا ذمہ دار ہے، دوسرا صارف اور نیٹ ورک کے درمیان باہمی تصدیق کے لیے ذمہ دار ہے۔
شروع کرنا
صارف SEAF کو رجسٹریشن کی درخواست جمع کراتا ہے، جس میں صارف کی پوشیدہ سبسکرپشن ID SUCI ہوتی ہے۔
SEAF AUSF کو ایک تصدیقی درخواست کا پیغام بھیجتا ہے (Nausf_UEAauthentication_Authenticate Request) جس میں SNN (سروسنگ نیٹ ورک کا نام) اور SUPI یا SUCI ہوتا ہے۔
AUSF چیک کرتا ہے کہ آیا SEAF توثیق کرنے والے کو دیا گیا SNN استعمال کرنے کی اجازت ہے۔ اگر سرونگ نیٹ ورک اس SNN کو استعمال کرنے کا مجاز نہیں ہے، تو AUSF اجازت کی غلطی کے پیغام کے ساتھ جواب دیتا ہے "Serving network not authorized" (Nausf_UEAuthentication_Authenticate Response)۔
AUSF کی طرف سے UDM، ARPF یا SIDF سے SUPI یا SUCI اور SNN کے ذریعے تصدیقی اسناد کی درخواست کی جاتی ہے۔
SUPI یا SUCI اور صارف کی معلومات کی بنیاد پر، UDM/ARPF اگلا استعمال کرنے کے لیے تصدیق کا طریقہ منتخب کرتا ہے اور صارف کی اسناد جاری کرتا ہے۔
باہمی توثیق
تصدیق کا کوئی طریقہ استعمال کرتے وقت، UDM/ARPF نیٹ ورک کے افعال کو ایک تصدیقی ویکٹر (AV) پیدا کرنا چاہیے۔
EAP-AKA: UDM/ARPF پہلے بٹ AMF = 1 کو الگ کرنے کے ساتھ ایک تصدیقی ویکٹر تیار کرتا ہے، پھر تخلیق کرتا ہے سی کے' и IK' کی CK, IK اور SNN اور ایک نیا AV تصدیقی ویکٹر تشکیل دیتا ہے (RAND, AUTN, XRES*, سی کے', IK')، جسے صرف EAP-AKA کے لیے استعمال کرنے کی ہدایات کے ساتھ AUSF کو بھیجا جاتا ہے۔
5G AKA: UDM/ARPF کو کلید مل جاتی ہے۔ KAUSF کی CK, IK اور SNN، جس کے بعد یہ 5G HE AV پیدا کرتا ہے۔ 5G ہوم انوائرمنٹ توثیق ویکٹر)۔ 5G HE AV توثیق ویکٹر (RAND، AUTN، XRES، KAUSF) صرف 5G AKA کے لیے استعمال کرنے کی ہدایات کے ساتھ AUSF کو بھیجا جاتا ہے۔
اس کے بعد AUSF اینکر کی حاصل کی جاتی ہے۔ KSEAF چابی سے KAUSF اور پیغام "Nausf_UEA Authentication_Authenticate Response" میں SEAF "چیلنج" کو ایک درخواست بھیجتا ہے، جس میں RAND، AUTN اور RES* بھی شامل ہیں۔ اس کے بعد، RAND اور AUTN کو ایک محفوظ NAS سگنلنگ پیغام کا استعمال کرتے ہوئے صارف کے سامان میں منتقل کیا جاتا ہے۔ صارف کا USIM موصولہ RAND اور AUTN سے RES* کا حساب لگاتا ہے اور اسے SEAF کو بھیجتا ہے۔ SEAF اس قدر کو AUSF کو تصدیق کے لیے بھیجتا ہے۔
AUSF اس میں ذخیرہ شدہ XRES* اور صارف سے موصول ہونے والے RES* کا موازنہ کرتا ہے۔ اگر کوئی مماثلت ہے تو، آپریٹر کے ہوم نیٹ ورک میں AUSF اور UDM کو کامیاب تصدیق کے بارے میں مطلع کیا جاتا ہے، اور صارف اور SEAF آزادانہ طور پر ایک کلید تیار کرتے ہیں۔ کے اے ایم ایف کی KSEAF اور مزید مواصلت کے لیے SUPI۔
ثانوی تصدیق
5G معیار EAP-AKA کی بنیاد پر صارف کے آلات اور بیرونی ڈیٹا نیٹ ورک کے درمیان اختیاری ثانوی تصدیق کی حمایت کرتا ہے۔ اس صورت میں، SMF EAP تصدیق کنندہ کا کردار ادا کرتا ہے اور کام پر انحصار کرتا ہے۔ -ایک بیرونی نیٹ ورک سرور جو صارف کی تصدیق اور اجازت دیتا ہے۔
- ہوم نیٹ ورک پر لازمی ابتدائی صارف کی تصدیق ہوتی ہے اور AMF کے ساتھ ایک مشترکہ NAS سیکیورٹی سیاق و سباق تیار کیا جاتا ہے۔
- صارف AMF کو سیشن قائم کرنے کی درخواست بھیجتا ہے۔
- AMF SMF کو سیشن قائم کرنے کی درخواست بھیجتا ہے جو صارف کے SUPI کی نشاندہی کرتا ہے۔
- SMF فراہم کردہ SUPI کا استعمال کرتے ہوئے UDM میں صارف کے اسناد کی توثیق کرتا ہے۔
- SMF AMF کی درخواست کا جواب بھیجتا ہے۔
- SMF بیرونی نیٹ ورک پر AAA سرور سے سیشن قائم کرنے کی اجازت حاصل کرنے کے لیے EAP تصدیق کا طریقہ کار شروع کرتا ہے۔ ایسا کرنے کے لیے، SMF اور صارف طریقہ کار کو شروع کرنے کے لیے پیغامات کا تبادلہ کرتے ہیں۔
- صارف اور بیرونی نیٹ ورک AAA سرور پھر صارف کی تصدیق اور اجازت کے لیے پیغامات کا تبادلہ کرتے ہیں۔ اس صورت میں، صارف SMF کو پیغامات بھیجتا ہے، جس کے نتیجے میں UPF کے ذریعے بیرونی نیٹ ورک کے ساتھ پیغامات کا تبادلہ ہوتا ہے۔
حاصل يہ ہوا
اگرچہ 5G سیکیورٹی فن تعمیر موجودہ ٹیکنالوجیز کے دوبارہ استعمال پر مبنی ہے، لیکن یہ مکمل طور پر نئے چیلنجز کا سامنا ہے۔ IoT آلات کی ایک بڑی تعداد، توسیع شدہ نیٹ ورک کی حدود اور وکندریقرت فن تعمیر کے عناصر 5G معیار کے چند اہم اصول ہیں جو سائبر کرائمینلز کے تخیل کو آزادانہ لگام دیتے ہیں۔
5G سیکیورٹی فن تعمیر کا بنیادی معیار ہے۔ - سیکیورٹی میکانزم اور طریقہ کار کے آپریشن کے اہم نکات پر مشتمل ہے۔ خاص طور پر، یہ صارف کے ڈیٹا اور نیٹ ورک نوڈس کے تحفظ کو یقینی بنانے، کرپٹو کیز بنانے اور تصدیق کے طریقہ کار کو نافذ کرنے میں ہر VNF کے کردار کو بیان کرتا ہے۔ لیکن یہاں تک کہ یہ معیار دبانے والے حفاظتی مسائل کے جوابات فراہم نہیں کرتا ہے جن کا سامنا ٹیلی کام آپریٹرز کو ہوتا ہے جتنی زیادہ شدت سے نئی نسل کے نیٹ ورک تیار کیے جاتے ہیں اور اسے کام میں لایا جاتا ہے۔
اس سلسلے میں، میں یقین کرنا چاہوں گا کہ 5ویں جنریشن کے نیٹ ورکس کو چلانے اور ان کی حفاظت کی مشکلات کسی بھی طرح عام صارفین پر اثر انداز نہیں ہوں گی، جنہیں ٹرانسمیشن کی رفتار اور ماں کے دوست کے بیٹے کی طرح جواب دینے کا وعدہ کیا گیا ہے اور وہ پہلے ہی تمام چیزوں کو آزمانے کے لیے بے چین ہیں۔ نئی نسل کے نیٹ ورکس کی اعلان کردہ صلاحیتیں۔
کارآمد ویب سائٹس
ماخذ: www.habr.com